Появляется вредоносный скрипт на сайте =(
Страницы: Пред. 1 2
Появляется вредоносный скрипт на сайте =(
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
Скачайте самые новые фильмы торент

Бесплатная контекстная реклама

Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Чебоксары, netbynet.ru ))))
В Питере тоже есть, в одном жилом комплексе
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
Цитата
Coder пишет:
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
ai-bolit тема конечно, особенно эвристика. Меня неоднократно выручал
Изменено: xschneider - 21 Октября 2014 12:18
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
У меня php.mail.log и maillog показывал, что это скрипты с помощью sendmail спамили сообщениями по 25-му порту а все потому что sendmail настроен как relay. А само веселье началось 10 октября, мне позвонил знакомый саппортер от провайдера, говорит типа более 500 сообщений в секунду по 25 порту шпарит. tcpdump port 25 и показал что правда... mailq - показал что еще 100500 в очереди... конечно я их убрал из очереди
Изменено: xschneider - 21 Октября 2014 12:25
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
access_log из Apache или в самом сайте?
С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log­
Изменено: xschneider - 21 Октября 2014 12:58
Цитата
Coder пишет:
Самому найти можно и есть темы на форуме - айболит и прочее.
Вообще старая тема конечно но вдруг кому пригодится ищите в своих папках eval и удаляйте его без сомнений - без этого кусочка вредоносные скрипты и вирусы работать просто не будут
Страницы: Пред. 1 2
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
17:57 Черновик записи Вордпресс перестал сохранять 
16:19 после переноса не работает Форум 
14:31 CPA-сеть MyLead - глобальная монетизация трафика! 
12:25 Кто может помочь составить правильную RSS? 
23:59 Даёшь новый Апдейт! Яндекс выдача 21.03.2019 
23:04 Продвижения страниц с символами ? и = в url 
22:13 22 марта 2019 | Текстовый апдейт: выложен индекс по 18 марта 2019 
20:46 Требуется сбор СЯ на англ.языке 
20:43 Ищу помощника по группировке СЯ и ТЗ для копирайтеров 
18:39 Дизайн / вертка / программирование / модули DLE 
18:33 Раскрутка вашего сайта белыми методами | Крауд, доски, статьи, соц. сети и пр. 
13:51 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
10:30 Копирайтинг RU/EN, переводы высокого уровня (рус/англ/укр), SEO-оптимизированные тексты под ключ для выхода в Топ (2000+ отзывов) 
21:30 Сервис услуг в YouTube, Вконтакте, Instagram, Twitter, Facebook, Одноклассники, Google+ 
22:32 БЕСПЛАТНО предлагаю статьи для гостевого постинга 
15:21 Правообладатели - как закрыть доступ 
12:34 23 марта - всемирный день метеорологии 
04:08 Finaff становится открытой партнёркой! 
22:00 Бесплатно за отзыв можем сделать 1 услугу в соц сетях 
13:06 НУЖЕН фотошопер для создание 2х картинок для ВК 
23:41 Детство и спорт